ABONAMENTE VIDEO TESTE REDACȚIA
RO
EN
×
▼ LISTĂ EDIȚII ▼
Numărul 60
Abonament PDF

Managementul vulnerabilităţilor și evaluarea riscurilor în domeniul securității informatice

Cristian Filip
Application Management & Support @ NTT DATA Romania
PROGRAMARE

Datorită dezvoltării tehnologice din domeniului IT, informaţiile circulă cu o viteză foarte mare, accesul utilizatorului fiind aproape instantaneu, via internet sau intranet. Informațiile unei companii se pot regăsi: în format tipărit , stocate în sistemele informatice și bineînțeles în mintea utilizatorului prin parole, username etc. . 

Ce reprezintă securitatea informaţiilor ?

Securitatea informațiilor poate fi descrisă de caracteristicile de prelucrare şi stocare ale informaţiilor de orice tip şi provenienţă, având ca scop confidenţialitatea, disponibilitatea și integritatea datelor.

Securitatea informațiilor nu este amenințată doar de acte intenționate (interceptarea comunicațiilor, viruși sau furt), ci și de elemente precum:

Vulnerabilităţile

Vulnerabilitățile în domeniul securității informatice pot fi împărțite în mai multe categorii: tehnice, legate de procedurile de acces ale angajaților în sistemele IT, organizatorice sau erori umane.

De aceea, este bine ca într-o companie politicile de acces să fie implementate după analiza de risc, ea făcând parte din metodologia conceptului de securitate şi este aplicată în toate etapele de dezvoltare a acesteia.

Analiza de risc are ca scop evaluarea vulnerabilităților și găsirea de soluții în faţa amenințărilor potențiale urmărind diminuarea posibilelor pierderi. 

Cum ne protejăm folosind Managementul sistemului de Securitate informatică ?

Este recomandat ca în toate organizaţiile să fie definit şi implementat un document cu politici, norme şi standarde de securitate. Acest document trebuie să conțină toate politicile organizatorice ale companiei referitoare la permisiuni, restricții, nivel de acces, etc. . El trebuie respectat de către angajaţi, administratori de reţea, experţi în securitate şi echipa de management.

Politica de securitate trebuie să cuprindă cel puțin următoarele capitole:

Ce trebuie să urmărim pentru a avea un Management Informatic sănătos ?

De-a lungul timpului au fost create mai multe standarde și norme de securitate, dintre care cele mai importante în domeniul securității informatice sunt:

ISO 17799 

Specifică cele mai bune practici pentru managementul securității informației. Acest standard împarte managementul securității informațiilor în diferite categorii, după cum urmează:

Health Insurance Portability and Accountability Act (HIPAA) 

A fost creat în 1996 și se ocupă cu confidențialitatea datelor medicale.

Personally identifiable information (PII) 

Se ocupă cu protejarea datelor personale de identitate.

ISO 27001 

Conţine modelul de "plan-do-check-act" şi anume planificare definire, implementare folosire, monitorizare evaluare şi în ultimă fază menţinerea şi îmbunătăţirea performanţelor.

Figura 1: Modelul "PLAN-DO-CHECK-ACT"(ehs.unc.edu)

ITIL

Constă în orientări şi în cele mai bune practici care descriu modul în care un "IT Service Management (ITSM)" poate fi pus în aplicare printr-un ciclu de viaţă.

Figura 2: Ciclul de viaţă ITIL (ITIL® v3 Foundation Study Guide, taruu LLC, 2009)

Atacuri, ameninţări şi protecţie

Atacuri

Figura 3: Destributed Denial of Service

Ameninţări :

Protecţie 

Pentru a ne proteja împotriva atacurilor şi a ameninţărilor trebuie să ne întărim securitatea dispozitivelor de reţea, să utilizăm filtre MAC, să utilizăm standarde de control al accesului la reţea precum 802 lx şi politici de grup. Sistemele trebuie monitorizate şi updatate continuu şi erorile apărute ca urmare a monitorizării trebuie reparate.

Managementul Vulnerabilităţilor prin analiza de risc

Managementul Vulnerabilităţilor este un proces prin care, pe baza riscului și costurilor asociate determinăm dacă vulnerabilitățile cu care ne putem confrunta trebuie îndepărtate, atenuate sau chiar tolerate. După stabilirea vulnerabilităților începe procesul de prevenție prin folosirea unei analize de risc care aparţine de Managementul Vulnerabilităţilor.

De asemenea, există mai multe tipuri de analiză.

Risk = Probabilitate x Pierdere

Aşteptarea de pierdere unică (APU) = valoarea bunului ($) x factorul de expunere (%) 

După calcularea aşteptării de pierdere unică putem calcula:

Aşteptarea de pierdere anuală = APU x rata anuală de apariţie

În concluzie, de îndată ce au fost identificate și ierarhizate amenințările, se va decide ce trebuie făcut pentru gestionarea acestor riscuri.

Managementul riscurilor include reducerea riscului printr-un control de securitate cu scopul de a accepta, a transfera sau a ignora.

Minimizarea riscurilor se poate face prin audituri interne de securitate periodice şi prin asigurarea respectării politicilor și procedurilor de securitate.

În ziua de azi, vedem din ce în ce mai multe ştiri despre atacuri informatice, adevărate războaie cibernetice cu efecte dezastruoase.

Managementul vulnerabilităților și evaluarea riscurilor în domeniul securității informatice reprezintă acțiuni vitale care trebuie tratate cu prioritate maximă în orice companie împotriva "black hat hackers".

Figura 4 Cyber Attacks

Bibliografie

  1. Lucrare de dizertație - "Schwachstellen-Management und Risikobewertung im Bereich Informationssicherheit" Cristian A. Filip 2. Glen E. Clarke, CompTIA Security+ Certification Study Guide, Second Edition (Exam SYO-401 ) , 2014, McGraw-Hill Education
  2. [27001] ISO/IEC 27001:2013"Information technology - Security techniques - Information security management systems requirements specification", ISO/IEC JTC1/SC27
  3. [17799] ISO/IEC 17799:2005" Information technology -- Security techniques -- Code of practice for information security management"
  4. [HIPPA]
  5. [PII]
  6. [ITIL] ITIL® v3 Foundation Study Guide, taruu LLC, 2009

LANSAREA NUMĂRULUI 64

Înregistrează-te

Cluj-Napoca

Miercuri, 18 Octombrie, ora 18:00
PANEL: Big Data & Machine Learning

Facebook Meetup

Sibiu

Marți, 24 Octombrie, ora 18:00
PANEL: Automotive

Facebook Meetup

Timișoara

Miercuri, 25 Octombrie, ora 18:00
PANEL: Testarea Automată

Facebook Meetup

Sponsori

  • 3PillarGlobal
  • Betfair
  • Gemini Solutions
  • Telenav
  • Accenture
  • Siemens
  • Bosch
  • ntt data
  • FlowTraders
  • Crossover
  • MHP
  • Continental
  • Colors in projects

IT Days